นโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

1. กรรมการ ผู้บริหาร และพนักงานทุกคนของบริษัท ต้องปฏิบัติตามกฎหมาย นโยบาย ระเบียบ ข้อกำหนด คู่มือ หรือแนวปฏิบัติใด ๆ ของบริษัท ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
2. กรรมการและผู้บริหารในทุกหน่วยงาน ต้องส่งเสริมให้พนักงานของบริษัท ตระหนักและเข้าใจถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และส่งเสริมให้มีการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับขององค์กร รวมถึงจัดให้มีมาตรการควบคุมภายในที่มีประสิทธิภาพ เพื่อป้องกันการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
3. บริษัทกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) เพื่อทำหน้าที่ให้คำแนะนำ คำปรึกษา และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงทำหน้าที่ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยผู้บริหารของบริษัทต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวย ความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ได้อย่างเหมาะสม
4. การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย เพื่อการประมวลผลข้อมูลส่วนบุคคลของบริษัทเท่านั้น
5. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง และต้องแจ้งรายละเอียดที่จำเป็นให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

   ---

   ขั้นตอนและการบันทึก

   ---

   1) บริษัท จะใช้ข้อมูลส่วนบุคคล การเปิดเผยหรือแสดงข้อมูลส่วนบุคคลของพนักงานเท่าที่จำเป็น และต้องสอดคล้องกับวัตถุประสงค์ของการรวบรวมและจัดเก็บข้อมูล เช่น ชื่อ และที่อยู่ เพื่อใช้ในการติดต่อ และจะถูกจัดเก็บไว้ที่แผนกบุคคลของบริษัทฯ

   ---

   2) ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจะถูกนำไปใช้ตามวัตถุประสงค์อันชอบด้วยกฎหมาย และเพื่อการดำเนินธุรกิจของบริษัทในกรณีต่างๆ ได้แก่
   - ใช้สำหรับทำรายการสั่งซื้อ หรือรายละเอียดการสั่งซื้อผลิตภัณฑ์ หรือการเรียกร้องค่าสินไหมทดแทน หรือกิจกรรมอื่นๆ ที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัท รวบรวมโดยแผนกจัดซื้อ และจัดเก็บที่ฝ่ายจัดซื้อ และที่แผนกบัญชีระยะเวลาจัดเก็บจะเก็บจนกว่าจะมีการเลิกติดต่อซื้อขาย
   - ใช้สำหรับปรับปรุงหรือพัฒนาการบริการลูกค้า รวบรวมโดยแผนกธุรการ (ขาย) และจัดเก็บที่แผนกบัญชี ระยะเวลาจัดเก็บจะเก็บจนกว่าจะมีการเลิกติดต่อซื้อขาย

---

6. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องเป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้ ต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะที่มีการเก็บรวบรวมข้อมูล เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น และต้องไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือได้รับการยกเว้นตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
7. ทุกหน่วยงานในบริษัท ต้องจัดทำและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Data Inventory) ตามหลักเกณฑ์และวิธีการที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สามารถตรวจสอบได้ โดยบริษัทต้องดำเนินการให้บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Data Inventory) ดังกล่าวมีความถูกต้อง ครบถ้วน เป็นปัจจุบัน และสมบูรณ์อยู่เสมอ ข้อมูลส่วนบุคคล (PDPA) ของพนักงานบริษัท เอเชียน อินซูเลเตอร์ จำกัด (มหาชน) จะจัดเก็บไว้ที่ Drive Employee_Data ซึ่งเป็น Drive ที่มีสิทธิเข้าไปใช้งานได้ 3 User ซึ่งได้แก่ คุณธนิตย์และพนักงานแผนกบุคคล จำนวน 2 รายเท่านั้นที่ได้รับอนุญาต ในส่วนของการนำข้อมูลส่วนบุคคลของพนักงานที่จะสามารถนำไปใช้ได้ และต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อนทุกครั้งค่ะ
8. ทุกหน่วยงานในบริษัทต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ที่เพียงพอเหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทโดยมิชอบ รวมถึงจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าว อย่างสม่ำเสมอ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มั่นใจได้ว่าบริษัทมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เพียงพอ เหมาะสม และเป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

   ---

   หากพนักงานประสงค์จะทราบข้อมูลส่วนบุคคลเกี่ยวกับตนเอง เพื่อตรวจสอบความถูกต้องของข้อมูลพนักงานสามารถร้องขอโดยระบุตัวตนที่แท้จริงของพนักงานตามหลักเกณฑ์และวิธีการที่บริษัทกำหนดเมื่อบริษัทได้รับคำร้องขอดังกล่าวแล้ว จะรีบดำเนินการแจ้งถึงความมีอยู่หรือรายละเอียดของข้อมูลส่วนบุคคลดังกล่าวให้พนักงานทราบภายในระยะเวลาอันสมควร และหากพนักงานพบว่าข้อมูลส่วนบุคคลไม่ถูกต้องตามความเป็นจริง สามารถแจ้งบริษัทเพื่อให้แก้ไขเปลี่ยนแปลงหรือลบข้อมูลส่วนบุคคลนั้นได้
9. ทุกหน่วยงานในบริษัทต้องจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเมื่อมีการเก็บข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องหรือ เกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น เว้นแต่เป็นการเก็บรักษา ตามวัตถุประสงค์ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
10. กรณีที่หน่วยงานในบริษัทจำเป็นต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามบริษัท ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล และป้องกันมิให้ผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวใช้หรือเปิดเผยข้อมูล ส่วนบุคคลที่บริษัทเปิดเผยหรือโอนไปให้โดยมิชอบหรือเกินขอบเขตที่กำหนด
11. การเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานหรือบุคคลภายนอก เมื่อมีการขอเข้าถึงหรือขอให้เปิดเผยข้อมูลส่วนบุคคลที่อยู่ในครอบครองของบริษัท เช่น หน่วยงานของรัฐ หน่วยงานกำกับดูแล หรือเจ้าพนักงานซึ่งใช้อำนาจตามกฎหมาย เป็นต้น บริษัทจะต้องมั่นใจว่าการเปิดเผยดังกล่าวได้รับ ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่เป็นการเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้น ไม่ต้องขอความยินยอมตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เช่น เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลไม่สามารถให้ ความยินยอมได้ หรือเป็นการจำเป็นเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย เป็นต้น แล้วแต่กรณี ทั้งนี้ บริษัทจะต้องจัดทำบันทึกรายการการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวไว้ด้วย
12. กรณีที่บริษัทจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ จะต้องมั่นใจว่าประเทศปลายทางที่รับข้อมูลส่วนบุคคลมีมาตรฐานคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
13. หน่วยงานที่เกี่ยวข้องในบริษัท ต้องดำเนินการใด ๆ เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงจัดให้มีระบบการตรวจสอบการดำเนินการดังกล่าว เพื่อให้มั่นใจว่าบริษัทมีการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสมโดยไม่ชักช้า และอยู่ภายในระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ในกรณีที่มี การปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคล ต้องมีการจัดทำบันทึกรายการการปฏิเสธคำร้องขอใช้สิทธิ ของเจ้าของข้อมูลส่วนบุคคลดังกล่าวพร้อมเหตุผลไว้ด้วย
14. ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งเหตุการละเมิดนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางการเยียวยาโดยไม่ชักช้า
15. ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เมื่อถูกร้องขอให้ส่งเอกสารหรือข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการชี้แจงข้อเท็จจริง เพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)